1、 最大的网络安全风险反而是网络战略的复杂性?安永安永 20232023 全球网络安全领导力洞察研究全球网络安全领导力洞察研究 1 最大的网络安全风险反而是网络战略的复杂性?目录目录 第一章第一章 采用新兴技术:在简化中实现安全采用新兴技术:在简化中实现安全.6 第二章第二章 网络安全成熟型企业可覆盖整个攻击面网络安全成熟型企业可覆盖整个攻击面.9 新兴技术正在制造新兴技术正在制造新型攻击面新型攻击面.10 网络安全网络安全领导者领导者低估了供应链带来的风险低估了供应链带来的风险.11 第三章第三章 运用商业语言运用商业语言.12 网络安全整合需要从高管团队开始行动网络安全整合需要从高管团队开始
2、行动.12 广泛的员工参与将带来更优的网络安全策略整合局面广泛的员工参与将带来更优的网络安全策略整合局面.13 网络安全陷入技能追赶的困境,需要对其采取战略举措网络安全陷入技能追赶的困境,需要对其采取战略举措.13 第四章第四章 网络安全成熟型企业网络安全成熟型企业-使网络安全成为价值驱动力使网络安全成为价值驱动力.15 为更为更有效的价值驱动网络安全战略付诸行动有效的价值驱动网络安全战略付诸行动.16 2 最大的网络安全风险反而是网络战略的复杂性?安永 2023 全球网络安全领导力洞察研究显示了网络安全领导者如何在创造价值的同时加强防御。概述:虽然企业增加了对网络安全的投资,但随着网络攻击者
3、利用先进技术和攻击面的扩大,威胁也在加剧 最有效的首席信息安全官简化了他们的技术架构,强调自动化,并在组织各层级之间进行有效的沟通 改善后的网络安全不仅可以减少漏洞,它还通过优化技术支出、促进合作和建立信任来创造价值。尽管网络攻击威胁不断增加,对网络安全方面的投资也在持续增长,但只有五分之一的首席信息安全官(Chief Information Security Officer,CISO)和高管团队认为他们的网络安全措施在目前是有效的,并且为未来做好了充分的准备。安永 2023 全球网络安全领导力洞察研究的研究对象还指出了一些令人担忧的问题。企业平均每年面临 44 起重大网络事件,但检测和响应较
4、慢,有四分之三的企业需要六个月或更长时间才能检测和响应事件。与此同时,在过去五年中已知的网络攻击数量增加了约 75%1。预计到2031年,勒索软件造成的损失将从2021年的200亿美元增加到2650亿美元2。新的、复杂的网络攻击者正在利用最新的技术作为武器提高攻击的速度和规模,由此对企业造成的财务、监管和声誉方面的影响正不断加剧。关于此项研究 2023 年 2 月至 3 月,安永在全球范围组织进行了一项研究,旨在更好地了解公司如何处理其组织的网络安全,为当前和未来的网络安全威胁做好准备。我们对来自美洲区、亚太区,以及欧洲、中东、印度及非洲区等 25 个国家和地区、11 个不同行业的 500 名
5、网络安全领导者进行了调研,其中包括250 名首席信息安全官(CISO)。这些研究对象代表了年营收超过10 亿美元的组织。通过统计模型,我们确定了在网络安全领域取得优秀成果的组织称之为网络安全成熟型企业。与表现欠佳的同行(网络安全发展中企业)相比,网络安全成熟型企业的网络安全事件数量更少,且检测和响应事件的速度更快。他们对组织当前的网络安全策略的满意度更高(51%vs 36%),也对未来的网络安全威胁做好了更充分准备(53%vs 41%)。1 网络事件数据库 2 网络安全风险投资 3 最大的网络安全风险反而是网络战略的复杂性?1.我们调研了 500 名首席信息安全官和高管,并确定了取得优秀网络安
6、全成果的组织,称为网络安全成熟型企业(42%)。网络安全发展中企业(58%)代表表现欠佳的同行。2.网络安全成熟型企业在 2022 年遭遇的网络安全事件较少。2022 年,仅有 14%的网络安全成熟型企业面临 50 起以上的网络安全事件,而网络安全发展中企业的比例为 46%。4 最大的网络安全风险反而是网络战略的复杂性?3.网络安全成熟型企业能够更快地发现网络安全事件。65%的网络安全成熟型企业的平均检测时间(MTTD)为 6 个月或更短,而网络安全发展中企业只有 27%能达到这一时间。4.网络安全成熟型企业对事件的响应速度也更快。67%的网络安全成熟型企业的平均响应时间(MTTR)为 30
7、天或更短,而网络安全发展中企业只有 8%能达到这一时间。图片描述:数据可视化展示了如何根据研究对象所在组织的网络安全有效性对研究数据进行细分。5 最大的网络安全风险反而是网络战略的复杂性?网络安全成熟型企业的网络安全策略不仅能够保护企业,还能为其创造价值。他们更有可能意识到网络安全要素对企业应对市场机遇、推动转型和创新步伐所带来的积极影响。与其他企业的不同之处在于,网络安全成熟型企业在以下三个关键领域做出了卓然不同的表现。他们迅速采用新兴技术,并利用自动化手段协调其网络安全技术和简化流程工作 他们具备针对性的网络安全策略以管理复杂的攻击面,包括云、本地和第三方 他们已将网络安全融合到组织的三个
8、层面,包括高管团队、全体员工和网络安全团队 识别网络安全成熟型企业 为了识别在网络安全方面表现更好的组织,我们定义了关键成果指标,包括客观和主观指标:平均检测时间(MTTD)、平均响应时间(MTTR)、事件数量、组织内部的网络安全整合工作以及网络安全对创新和创造价值的影响。通过统计建模,我们识别出两类群体网络安全成熟型企业(高绩效组织)和网络安全发展中企业(低绩效组织),前者占研究样本的 42%,后者占研究样本的 58%。6 最大的网络安全风险反而是网络战略的复杂性?第一章 采用新兴技术:在简化中实现安全 急于构建网络技术堆栈将会导致技术杂乱,应采用最有效的工具降低复杂性 近年来,网络安全工具
9、和应用程序在先进性、速度和有效性等方面都有所提高。据 Pitchbook称,这在一定程度上是由大量投资推动的。从 2010 年至 2022 年,全球在网络安全领域的投资达到 1.3 万亿美元,复合年增长率为 16.6%。研究表明,新技术实施浪潮即将到来,84%的组织处于将两种或多种新技术整合至现有网络安全解决方案套件的早期阶段。但讽刺的是,安全措施的规模和复杂性限制了可见性,对有效的网络安全构成了极大的威胁。安永全球和安永亚太区网络安全咨询主管 Richard Watson 表示:“技术环境越混乱,捕捉信号并快速解决问题就变得越发困难。”将技术整合到单一平台并减少供应商产品的数量可简化技术集成
10、,使监测数据更易凸显问题,并协助安全团队更高效地发现事件。首席信息安全官需要改变企业引入网络安全技术的方式,制定整体的技术战略,使现有系统合理化,并满足云和生态系统合作伙伴关系等新兴业务的网络安全需求,并充分利用自动化技术。当前很多网络安全成熟型企业都遵循该策略管理其组织的网络安全。有70%的网络安全成熟型企业认为自己是新兴技术的早期采用者,他们关注针对环境简化问题的先进解决方案,尤其是通过利用自动化技术来简化环境。相比网络安全发展中企业,他们更倾向于采用人工智能或机器学习(AI 或 ML)(62%vs 45%)以及安全、协调、自动化和响应(SOAR)(52%vs 37%),或者正处于准备采用
11、这些新兴技术的后期阶段。这使他们能够在整个组织范围内进行无缝防御,并对网络安全事件保持清晰的视野。7 最大的网络安全风险反而是网络战略的复杂性?图片描述:数据可视化展现了网络安全成熟型企业和网络安全发展中企业已经采用或正处于准备采用这些新兴技术的后期阶段的不同比率。网络安全成熟型企业表示,他们的网络安全策略还与提高威胁应对能力有关(45%的人表示产生了积极影响)。然而,只有 34%的网络安全发展中企业持相同观点,36%的企业认为他们的方法对其威胁应对能力产生了负面影响。尽管新兴技术增强了企业的能力,但网络安全领导者需要确保他们拥有简化的网络安全技术战略,以保障新兴技术的实施效果。因此,网络安全
12、领导者应该:简化和合理化现有网络安全技术,以降低运行总成本,并建立快速无缝运营的平台 审查重复或集成度低的遗留系统,将其作为技术现代化的一部分 采用简化和自动化的网络安全流程,而不是多个孤立的配置 在不引入新风险或使整体技术环境复杂化的情况下,更快地采用新兴技术 考虑采用自动化导向的解决方案,包括 DevSecOps 和 SOAR 寻求联合外包和托管服务来简化基础设施、提高可见性并实现成本效益 8 最大的网络安全风险反而是网络战略的复杂性?能源企业面临分散的 IT 环境 我们的研究显示,从行业角度来看,能源企业在网络安全问题上面临较大的挑战,仅有35%的组织表示他们有能力应对未来的威胁,而在其
13、他行业中这一比例达到48%。此外,相较于其他行业,能源企业更倾向于“使用的技术需经过尝试和测试”,并认为没有优先考虑新兴技术集成是内部网络安全最大的难题。只有 22%的能源企业对其非 IT 员工采用的最佳实践感到满意。安永能源全球网络安全主管 Clinton Firth 表示:“近年来,能源行业在网络安全方面加大了投资。作为重要的国家基础设施,能源行业不断收紧监管,加大合规管理力度,以确保其能够抵御网络攻击和故障。”“向可再生能源过渡的压力迫使人们从传统运营技术转向分布式网络,包括物联网(IoT)。现今网络安全技术产品已显著改进,可以帮助能源企业有效识别漏洞并开发关键控制,如特权访问管理、威胁
14、检测和响应等。”然而,该行业正面临重大的结构性挑战。石油和天然气公司是全球性的,但网络安全标准和法规却是本地化的。网络安全职能部门通常难以与控制运营资产的工厂经理进行有效协作,而原始设备制造商和传统运营技术环境也成为了变革过程中不可避免的障碍。安永欧洲、中东、印度及非洲区的网络安全主管 Alam Hussain 表示:“近年来,许多能源企业在网络方面的投资额和金融服务行业相近,但他们的 IT 环境更加分散,像蜘蛛一样,难以找到可覆盖所有网络风险领域的解决方案。”9 最大的网络安全风险反而是网络战略的复杂性?第二章 网络安全成熟型企业可覆盖整个攻击面 大规模使用云服务和更深入的供应链实践正在增加
15、攻击面 “潜在攻击面太多”是企业网络安全策略中最常被提及的内部挑战。企业大规模向云计算和物联网(IoT)的过渡增加了网络漏洞的机会,而当今以生态系统为主导的业务方法在帮助推动价值的同时,也带来了重大的网络安全挑战。总而言之,53%的网络安全领导者认为当今的数字生态系统中不存在安全边界等概念。而其中最危险的是供应链,2021 年有 62%的系统入侵事件是由供应链导致的3。图片描述:数据可视化条形图显示了组织网络安全策略面临的最大内部挑战。3 威瑞森(Verizon)2022数据泄露调查报告 10 最大的网络安全风险反而是网络战略的复杂性?新兴技术正在制造新型攻击面 四分之三的研究对象认为云和物联
16、网是未来五年最重要的技术风险。随着云计算的应用,攻击面呈指数级增长,组织应努力跟上技术不断变化的步伐。当组织在云和物联网上没有围绕云接口和环境进行充分的网络安全设计和规划时,这些技术的快速变革有可能使组织面临数据丢失、泄露和业务中断的风险。为了应对这种复杂性,组织需要利用自动化解决方案。例如,半数以上来自网络安全成熟型企业的首席信息安全官表示,他们的组织目前正使用或处于实施云协同和自动化的后期阶段,以实现网络安全。此外,企业不能假定所有的网络安全风险都由云供应商来处理。安永网络安全咨询合伙人Carolyn Schreiber 表示:“云安全是一项(多方)共担的责任,尤其是在身份验证和访问控制方
17、面。我们经常遇到配置错误的情况,并建议进行更多的安全设置,而不仅仅是将责任提升和转移给云端。在进行安全设置时,需要考虑的关键领域包括权限访问管理以避免特权提升、机密管理和横向移动。根据我们从客户那里得到的反馈,最安全的组织会详细阅读合同条款,并倾向于要求他们的云服务提供商(Cloud Service Provider,CSP)支持与组织规定的相同或同等的安全标准。通过内部团队和云服务提供商之间形成责任共担,企业在不增加云平台和容器安全控制风险的情况下实现技术过渡。”网络风险量化是一个新兴领域,通过自动化和数据分析可以提升风险洞察力并帮助确定风险优先级。当前,执行委员会和董事会正在就网络和数字风
18、险提出更多问题,网络安全领导者应积极与利益相关者进行业务对话,并以货币价值来解释网络风险,这比传统的技术更新更有效,并且能够做出更明智的决策。美洲区,亚太区,欧洲、中东、印度及非洲区的大规模云和网络风险 亚太区的研究对象(81%)更倾向于将大规模云视为最易引发网络安全威胁的技术之一(相较于美洲区74%,欧洲、中东、印度及非洲区63%)。亚太区的监管机构针对云服务的使用许可审批进程较慢,这可能导致该地区在采用云服务方面存在滞后现象,或者在向云过渡的信心方面落后于欧美地区。另一方面,欧洲、中东、印度及非洲区(49%)更加重视人工智能和移动互联网技术带来的风险(相较于美洲区 38%,亚太区 34%)
19、。11 最大的网络安全风险反而是网络战略的复杂性?网络安全领导者低估了供应链带来的风险 现在,所有组织与供应链中的企业都有着紧密联系。在寻找最薄弱的环节时,网络攻击者利用“一对多”策略成功入侵了数千个组织。“在过去的五年里,我们观察到网络攻击者将供应链作为重要攻击目标。”安永全球网络安全转型负责人 Richard Bergman 表示,“如果他们能够入侵对三万家组织至关重要的关键软件供应链,那么他们就进入了这三万家企业内部。”尽管供应链带来的风险广泛存在,网络安全发展中企业更专注于财务风险,而网络安全成熟型企业(38%)高度关注供应链风险的可能性几乎是网络安全发展中企业(20%)的两倍。意识到
20、供应链带来的威胁仅仅是第一步,首席信息安全官应努力精简其组织的供应链,从而对供应商弹性始终保持可见,而不仅仅是一次性的。首席信息安全官与首席运营官以及其他运营负责人保持深入合作对于确保供应链中所有攻击面的可见性至关重要。在网络安全成熟型企业中,安全职能部门将参与供应商遴选决策,以建立更高水平的安全保障并对其持续管理。首席运营官和首席信息安全官也可能在合作中面临一些冲突,例如:首席运营官会因为网络安全问题而无法获得发展机会,而首席信息安全官则会觉得自己作为企业保护者的价值被低估了。只有通过二者的共同努力,才能实现组织真正的发展韧性4。4 首席运营官(COO)和首席信息安全官(CISO)如何共同建
21、立抵御勒索软件的运营机制 12 最大的网络安全风险反而是网络战略的复杂性?第三章 运用商业语言 最高效的首席信息安全官使用管理层和员工的语言,在整个组织内进行有效沟通 网络安全成熟型企业在整个组织中扮演着桥梁的角色,他们能够与高管层、网络安全团队和全体员工三个层次的利益相关者进行有效沟通,并且清楚地认识到网络安全问题中存在的“人为因素”。网络安全整合需要从高管团队开始行动 在过去,首席信息安全官的角色主要是运营和技术性的,但在更成熟的组织中,网络安全本身作为一个职能部门运作,并在高级管理层中占有一席之地。我们的研究发现,在当今网络安全高风险环境中,首席信息安全官在获取必要的资源方面取得了广泛成
22、功,其作用日益突出。这也在今年的研究结果中得到证实,“预算不足”和“接触高管受限”在研究对象反馈的网络安全策略内部挑战中仅排名最后三位。网络安全已经成为业务弹性、声誉和合规性问题,在组织内部得到了充分的支持。虽然预算是网络安全策略的重要组成部分,但网络安全应贯穿整个组织,这就需要高级管理层的支持,弥补其知识差距,以及加强首席信息安全官和高级管理层之间的紧密沟通。然而,我们的研究显示,这些群体并非总是处在同一阵线上的。相较于高级管理层,首席信息安全官对组织整体网络安全策略实施的有效性(36%vs 48%)以及其应对未来威胁的能力(38%vs 54%)感到不太满意。对于网络安全成熟型企业来说,首席
23、信息安全官和高管之间的认知差距更小。他们更期望高管将网络安全整合到关键业务决策中,这表明与高层领导进行更有效的沟通可以建立对风险的共同理解,并提高网络安全绩效。对网络安全绩效具备一致的认知是公司网络安全能力成熟度较高的标志。将网络安全运营与核心业务优先事项和战略相结合的企业发生安全事件的几率更低。最有效的首席信息安全官还能将其关于网络安全的理念转化为一个连贯的故事,这个故事能够从风险缓解、业务影响和价值创造等方面与业务产生共鸣。首席信息安全官和高管对其组织网络安全方法的满意度之间存在显著差距。13 最大的网络安全风险反而是网络战略的复杂性?图片描述:数据可视化条形图显示了首席信息安全官、其他高
24、管层对网络安全满意度以及这些群体之间的差距。广泛的员工参与将带来更优的网络安全策略整合局面 更加广泛的网络安全策略整合重点应该是更加广泛的员工参与。人为错误仍然是网络安全攻击的主要诱因,并且我们的研究结果显示,将近 40%的网络安全领导者指出,非 IT 人员对网络安全最佳实践的遵守存在不足是当前最大的内部挑战之一(8 项挑战中排名第 3)。仅有 51%的研究对象对组织的网络安全培训计划有效性感到满意,36%对非 IT 部门遵守最佳实践的情况表示满意。这引发了人们对这种培训有效性的质疑。然而,这一差距在网络安全成熟型企业中再次呈现出缩小趋势,他们对其员工的最佳实践遵守情况更为满意(47%,高于网
25、络安全发展中企业的27%)。因此,在网络安全培训中,企业应将重点放在基础知识方面。组织必须对要求员工遵守的最佳实践进行简化,并通过在流程和沟通过程中建立防护措施以限制风险发生,而非仅依赖人为控制。更成熟的组织会定期开展渐进式培训,利用最新的自动化和预防工具,将网络安全植入组织中每个员工的内心,这样才能使得网络安全培训更加行之有效。网络安全陷入技能追赶的困境,需要对其采取战略举措 在网络安全领域,人才短缺是一个持续存在的挑战。在过去一年中,网络安全人才缺口的增长速度超过了全球网络人才缺口增速的两倍以上5。网络安全陷入了技能追赶的困境,提升技能已成为大多数组织关注的核心问题。网络安全成熟型企业正以
26、更具创造性的方式应对这一挑战。例如,他们优先招聘或重新培训目前尚未进入网络安全领域的员工的可能性是其他企业的两倍 5(ISC)2022网络安全劳动力研究 14 最大的网络安全风险反而是网络战略的复杂性?(28%vs 14%)。非传统员工可能来自于多种背景,包括财务和 IT 等职能领域以及培训生等非传统背景。网络安全领导者应更灵活地思考如何塑造其网络安全职能的运营模式。相比于网络安全发展中企业,网络安全成熟型企业将更多的安全运营外包(中位数为 25%vs 15%),并在未来可能将更多的职能和能力外包给第三方专家(46%vs 31%)。外包可以简化内部网络安全职能,让专业的第三方机构专注于其内部员
27、工可能无法处理的特定网络安全事件。此外,网络安全成熟型企业还优先考虑安全流程的标准化和自动化,以减少人员需求(35%vs 26%),进一步精简组织结构。图片描述:以数据可视化的方式描绘出网络安全成熟型企业和网络安全发展中企业的人才优先事项。虽然企业越来越倾向于外包网络安全工作的人员和流程,但对技术本身却更加谨慎。与外包公司托管的多租户技术解决方案相比,组织通常更希望在自己的云环境中持有技术,并根据其特定需求和风险偏好进行配置,同时受益于外包或联合外包在技能和人员方面提供的能力。除此之外,他们还可以从第三方外包商的知识产权中获益。另一项创新型能力战略是通过创建个人角色以协调业务和网络安全团队之间
28、的联系。咨询专家能够在网络安全团队和业务团队之间发挥联络作用,了解需求并将网络安全方面的考虑因素纳入到业务中。一些公司正在尝试一种“吊舱”式方法,即由一个顾问团队在 6 个月或 9 个月的时间内对组织进行提升和转型管理,运行一个安全开发周期,并培训相关人员,这样可以为组织注入新技能,使得内部团队能够在实践中获得学习。15 最大的网络安全风险反而是网络战略的复杂性?第四章 使网络安全成为价值驱动力 网络安全领导者应用自动化和协调来简化技术环境并在整个组织内实现高效沟通 网络安全成熟型企业不仅是价值的保护者,更是价值的创造者。我们从众多客户处发现,网络安全成熟度高的企业已经将网络安全融入到公司的整
29、体结构中,使其成为组织运营模式中不可或缺的一部分,并且将网络安全职能从发展抑制因素转变为价值驱动因素。网络安全成熟型企业表示,相比网络安全发展中企业,他们的网络安全策略对组织的转型和创新速度(56%vs 25%)、组织快速响应市场机遇的能力(58%vs 29%)以及组织专注于创造价值而非保护的能力(63%vs 42%)产生了更积极的影响。网络安全高成熟度的组织更加能够赢得客户和供应商的信任,他们会有更强的信心与组织进行交易。重新设计技术架构可以改善沟通、协作和员工生产力,并提高支出效率。例如,由于安全风险增加,一家零售巨头实施了网络安全转型计划,该计划不仅在降低脆弱性方面取得了成功,还提高了价
30、值,包括更高效的技术支出、去除过时和冗余的工具、优化人力、细化角色和职责以及加强与超过 10 亿客户群之间的信任关系。图片描述 数据可视化条形图显示,网络安全对网络安全成熟型企业和网络安全发展中企业创造价值、应对市场机遇的反应以及转型与创新方面的影响。16 最大的网络安全风险反而是网络战略的复杂性?我们的研究表明,相比于网络安全有效性更高的网络安全成熟型企业,网络安全发展中企业更有可能在安全性与创新增速的平衡方面遇到问题(55%vs 42%),这进一步说明了网络安全有效性是价值和创新的平台,而缺乏网络安全有效性则对其形成阻碍。无论是通过多个品牌、全资或控股子公司、合作伙伴或合资企业,生态系统均
31、已成为创造价值的基本商业战略。企业要充分利用好生态系统的优势,必须从一开始就将网络安全要素嵌入其中。首席信息安全官需要通过标准化技术集成协议,确保在评估潜在合作伙伴时将网络安全标准纳入评价体系;他们还需要与业务决策者进行有效沟通,妥善管理业务扩张带来的网络安全风险。例如,收购可能会带来网络安全风险,但如果这些风险与机遇相比相形见绌,那么它就会成为与其他决策一样的业务风险决策,而不一定意味着放弃,公司需要承受“合理”水平的风险。为更有效的价值驱动网络安全战略付诸行动 安永 2023 全球网络安全领导力洞察研究揭示了令人警醒的研究结果,网络安全领导者正在努力应对当前和预期的网络安全威胁。然而,组织
32、在网络安全方面的表现和成果会因其采用的网络安全策略而产生不同。组织可以通过强调简化、整体思维和在组织范围内整合网络安全考虑因素来增强其网络安全水平。研究结果得出的关键行动建议包括:简化网络技术架构,可以降低风险并提高可见性。自动化和协同管理可以减少技术环境中的混乱,使得更快地发现问题并更有效地做出反应。标准化和自动化技术可以提高供应链的网络安全预警能力,持续监测供应商绩效表现,减少不必要的繁文缛节。在遴选供应商阶段,安全团队应早期介入。最有效的首席信息安全官能够将其关于网络安全的理念转化为一个连贯的故事,这个故事能够从风险缓解、业务影响和价值创造等方面与业务产生共鸣。人为失误仍然是造成网络安全漏洞的主要原因。成熟的组织通过将循序渐进的、精心设计的培训与自动化和预防工具相结合,实现员工层面的网络安全原生。网络安全应该被纳入组织的基本结构中,而不是视为一种阻碍。它能够创造价值、增强创新信心,并开启新的收入和市场机会。